1.X-Protected-By:OpenRASP
这个 Header 用于检查服务器是否安装了 OpenRASP,可以关闭。
openRASP是一个百度的安全框架,将其集成到我们的web项目中,就像是给web项目安装了一款“安全管家”的软件,它可以检测到攻击,并进行拦截。
OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式,创造性的使用RASP技术(应用运行时自我保护),直接注入到被保护应用的服务中提供函数级别的实时防护,可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞,尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。
官方文档:https://rasp.baidu.com/doc/
2.X-XSS-Protection:0
这个响应头是IE,Chrome和Safari的一个功能,可以在检测到反射XSS时阻止页面加载。
常见的响应头:
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0:禁用XSS过滤。
1 :启用 XSS 过滤(通常在浏览器中默认)。如果检测到XSS,浏览器将清理页面(删除不安全的部分)。
mode = block:启用 XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是消毒该页面。
report = <reporting-URI>:(仅限 Chromium)启用 XSS 筛选。如果检测到XSS,浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。